I 2022 fortsatte erhvervslivet med at blive ramt af angreb fra ransomware, svindel og databrud. Det var dog ikke kun højt profilerede virksomheder, der blev angrebet; sundhedssektoren, uddannelsessektoren, den offentlige sektor og små virksomheder var alle ofre for cyberangreb.
I en rapport fra 2022 viste Office of National Statistics (ONS) en stigning på 25 % (til 4,5 millioner) i antallet af bedrageriforbrydelser i det år, der slutter i marts 2022, sammenlignet med det år, der slutter i marts 2020. Og i 2022 var phishing stadig den mest almindelige trussel mod britiske virksomheder, idet 83 % af angrebene var phishing-baserede.
Men et nyt år bringer nyt håb og nye idéer med sig.
Træning i sikkerhedsbevidsthed er fortsat en topprioritet for virksomheder, der ønsker at bekæmpe svindel, svindel og andre cybertrusler. Men hvordan kan din organisation forbedre sin træning i sikkerhedsbevidsthed i 2023?
Her er fem idéer til at gøre din organisation klar til sikkerhed i 2023.
Vær positiv, vær sikker
Cyberkriminelle, især dem, der bruger social engineering og phishing, er afhængige af dårlig sikkerhedsadfærd for at få deres svindelnumre til at fungere. God cybersikkerhedsuddannelse handler om at ændre negativ sikkerhedsadfærd til en mere positiv holdning. Det kræver dog arbejde at ændre adfærdsmønstre.
Adfærd, som f.eks. trangen til at klikke, er et indlært mønster, og at ændre dybtliggende handlinger kræver en samordnet indsats med strategier som f.eks. simulerede phishing-kampagner. Forbedr dit indhold i Security Awareness Training ved hjælp af kampagner baseret på gennemprøvede strategier, f.eks. interaktiv læring, der ændrer dårlige adfærdsvaner til positive handlinger. Interaktiv læring og engagerende indhold vil øge medarbejdernes engagement og hjælpe din organisation med at skabe en positiv sikkerhedskultur.
Hold det relevant og interessant
Sikkerhedsindustrien ISACA har undersøgt, hvordan man kan forbedre Security Awareness Training. Undersøgelsen omfattede over 5.000 organisationer fra hele verden. Undersøgelsen viste tydeligt, at effektiv sikkerhedsuddannelse kræver den rigtige type af formidling af interessant og relevant indhold.
ISACA's resultater viste bl.a., at information bør gives i små bidder efter den første session og med regelmæssige mellemrum for at styrke indlæringen. Typen af information har også betydning. Casestudier fra det virkelige liv bidrog til at cementere viden og styrke betydningen af god sikkerhedsadfærd.
Forskerne fandt ud af, at indholdet skal være "relevant, relateret til teori og praksis og fortælle en historie". Brug materiale til Security Awareness Training, f.eks. korte forklaringsvideoer og phishing-simuleringsøvelser, til at engagere medarbejderne og gøre indholdet relaterbart og relevant.
Beløn succes, og lad være med at spille på skylden
Ingen bryder sig om at spille på skyldsspil, og i forbindelse med træning i sikkerhedsoplysning bør man undgå at bruge skyldsspil, når man uddanner medarbejdere. Problemet med at give folk skylden er, at det kan få dem til at miste tilliden, hvilket kan føre til endnu værre ulykker.
Det tager tid at udvikle en robust cybersikkerhedsindstilling og afhænger af mange aspekter af organisationens it-systemer, medarbejdere og processer. Giv ikke medarbejderne skylden for sikkerhedsfejl, teknologiske ændringer og cyberkriminelles ændrede teknikker; brug i stedet dårlig sikkerhedsadfærd som en undskyldning for at ændre adfærd og lære af fejltagelser.
Advanced Security Awareness Training-programmer giver interaktive træningssessioner under en øvelse for at vise medarbejderne, hvor de gik galt, og hvordan de sikrer sig, at de ikke gentager den samme adfærd.
Beløn også succes i stedet for at bruge skylden til at skamme sig. Hvis medarbejderne klarer sig godt under træningssessioner, kan du tilbyde dem små belønninger og give dem incitamenter til god opførsel.
Generer data, der kan bruges til handling
Metrikker giver et afgørende indblik i effektiviteten af et modul til træning i sikkerhedsbevidsthed; nogle avancerede systemer giver et meget detaljeret overblik over et givet moduls træningseffektivitet på tværs af tid og på individuel basis.
Phishing-simuleringsmoduler genererer f.eks. data på medarbejderbasis og viser medarbejdernes indlæringskurve, efterhånden som de udvikler færdigheder til at identificere e-mail-baserede trusler. Brug data om sikkerhedsbevidsthed til at finjustere dine uddannelsesmoduler og identificere adfærd, der er svær at ændre, og som kræver større opmærksomhed - målret specifikke roller og grupper ved at bruge målinger til at hjælpe med at designe skræddersyede simulerede phishing-kampagner. Med tiden vil den feedback, som granulære træningsmetrikker giver dig mulighed for at udvikle mere effektive træningssessioner.
Integrer sikkerhedsuddannelse med din organisation
Sikkerhedsnormer bør fastsættes på organisatorisk plan, så de enkelte personer integreres i en sikkerhedskultur, hvor sikkerheden kommer i første række. En vellykket uddannelse i sikkerhedsbevidsthed handler om modning af metoder og tilgange og ikke blot om en indsats for at opfylde reglerne.
De lovmæssige krav til træning i sikkerhedsbevidsthed bør dog bruges som udgangspunkt for at fastlægge målinger af effektiviteten af din træning. Ved at sammenkoble organisatoriske mål med sikkerhedsuddannelse flytter denne tilgang sikkerhedsbyrden fra en individuel til en kollektiv indsats: opbyg et program for uddannelse i sikkerhedsbevidsthed, der passer til jeres organisatoriske sikkerhedsbehov, og som inddrager alle fra bestyrelsesniveau og nedad i uddannelsessessionerne. Sørg for, at hver afdeling har skræddersyede træningsprogrammer, der afspejler trusler fra den virkelige verden. F.eks. er svindelnumre som Business Email Compromise (BEC) rettet mod afdelinger som f.eks. den administrerende direktørs kontor og kreditorkontoret.
Der er stor sandsynlighed for, at 2023 vil være lige så udfordrende for virksomheder, der skal håndtere sikkerhedstrusler, som de foregående år. Ingen organisation, uanset størrelse eller branche, kan sidde på laurbærrene og håbe på, at den ikke bliver et mål.
Men vores folk er vores styrke. Ved at anvende disse fem forbedringsstrategier i dit program for uddannelse i sikkerhedsbevidsthed i 2023 kan du bidrage til at udvikle en robust cybersikkerhedsindstilling og styrke dine medarbejdere mod cyberkriminelle og svindlere.
